ECA Digital: um novo marco legal para o ambiente online — e um alerta urgente para empresas de tecnologia no Brasil

ECA Digital: um novo marco legal para o ambiente online — e um alerta urgente para empresas de tecnologia no Brasil

texto por: Vitor Elias e Alexandre Fonte

Sancionada em 18 de setembro de 2025, a Lei nº 15.211/2025, conhecida como ECA Digital (ECA – Estatuto da Criança e do Adolescente), representa uma das mudanças legislativas mais relevantes dos últimos anos no Brasil em direito digital e proteção integral de crianças e adolescentes. A norma surge como resposta à combinação de fatores que hoje molda o ambiente online: uso massivo por menores, exposição a conteúdos nocivos, coleta e tratamento intensivo de dados e estratégias de publicidade e monetização cada vez mais sofisticadas.

Mais do que um avanço legislativo, o ECA Digital redesenha deveres e responsabilidades para todo o ecossistema: plataformas de conteúdo e redes sociais, desenvolvedores de aplicativos, serviços de streaming, jogos eletrônicos, lojas de apps, sistemas operacionais, provedores de infraestrutura e anunciantes/adtech. A lei não se limita a recomendações: impõe obrigações concretas, prazos curtos de adequação e sanções relevantes em caso de descumprimento.

Âmbito de aplicação: quem está dentro

A lei alcança serviços direcionados a crianças e adolescentes ou de acesso provável por esse público — ainda que ofertados do exterior. Isso inclui desde apps “family-friendly” e edtech até redes sociais de uso geral, jogos e plataformas UGC, streamings, marketplaces e aplicativos com economia in-app (modelos de monetização dentro do próprio aplicativo). A régua interpretativa é o melhor interesse da criança e do adolescente, com privacy & safety by design/default e princípios de necessidade, proporcionalidade e minimização no tratamento de dados.

E se a plataforma é “18+”? O rótulo não imuniza a empresa. Serviços “18+” continuam abrangidos quando haja acesso provável por menores. A lei exige medidas eficazes de prevenção ao acesso (age assurance proporcional ao risco, sem supercoleta), e a responsabilidade não se afasta por autodeclaração de idade. Em termos práticos: se menores conseguem entrar/usar, reativam-se as salvaguardas específicas (p. ex., limitações a publicidade, deveres reforçados de moderação e transparência), além de potencial agravamento sancionatório por falha na barreira de verificação de idade, que impede acesso de menores a ambientes restritos (“gate etário”).

Quem fiscaliza e como?

O Executivo federal atribuiu à ANPD – Agência Nacional de Proteção de Dados o papel central de regulamentar pontos técnicos, orientar, fiscalizar e sancionar condutas no âmbito do ECA Digital, em coordenação com outros órgãos quando couber (Ministério Público, autoridades de segurança pública, órgãos de defesa do consumidor, conselhos tutelares e Judiciário). Em casos extremos, medidas como suspensão de serviço ou bloqueio passam por ordem judicial, mas a fiscalização cotidiana e a dosimetria de sanções administrativas tendem a orbitar a ANPD.

Vigência e prazo de adequação.

A lei prevê uma carência (vacatio legis) de 6 meses contados da publicação oficial — janela crítica para adequação técnica, contratual e organizacional.

O que muda, na prática (pontos-chave)?

Proteção de dados e segurança por padrão. Exigência de medidas técnicas e organizacionais eficazes para resguardar privacidade e segurança de menores, com ênfase em minimização de dados, gestão de riscos, logs e rastreabilidade das ações de moderação e atendimento.

Verificação de idade e supervisão parental. Contas de usuários menores de 16 anos devem estar vinculadas a um responsável legal, com verificação de idade proporcional ao risco do serviço (age assurance) e mecanismos de supervisão claros, auditáveis e fáceis de usar.

Publicidade e monetização.

– Vedado o perfilamento para fins de publicidade comportamental dirigida a menores.

– Restrições a formatos intrusivos, técnicas de persuasão/engajamento e uso de análise emocional (incluindo AR/VR) para destinar anúncios a crianças e adolescentes.

– Monetização/impulsionamento de conteúdo que erotize ou explore menores é proibida.

– Cláusula 18+ na cadeia de ads: mesmo em plataformas 18+, deve-se comprovar que menores não entram: alinhe segmentação, lookalikes/remarketing e exclusões etárias nas plataformas de mídia; inclua cláusulas contratuais com ad networks, afiliados e creators prevendo bloqueios etários, auditoria e responsabilidades por veiculação indevida.

Jogos e economia in-app. Proibidas as “loot boxes” (caixas de recompensa de resultado aleatório mediante pagamento) em jogos direcionados ou de acesso provável por esse público. Isso exige revisão de mecânicas, probabilidades, paywalls, moedas virtuais e progressões. Em ecossistemas 18+ que de fato impedem o acesso por menores, a vedação específica voltada a crianças/adolescentes não se aciona — mas qualquer indício de uso por adolescentes reacende a proibição (e o risco sancionatório) sobre loot boxes e mecânicas correlatas.

Transparência e accountability. Plataformas com mais de 1 milhão de usuários infantojuvenis devem divulgar relatórios semestrais de transparência, com métricas sobre denúncias, moderação, verificação de idade, melhoria contínua, resultados de avaliações de risco/impacto e canais de suporte. Esses relatórios são públicos e encaminhados às autoridades competentes.

Remoção de conteúdo (“Takedown”) e reporte às autoridades.

– Remoção de conteúdo célere sem ordem judicial após notificação válida de vítima/representante/MP/entidades em casos de conteúdo ilícito que atinja direitos de menores.

– Dever proativo de identificar, retirar e comunicar imediatamente às autoridades conteúdos que envolvam crimes gravíssimos (p. ex., exploração sexual, tráfico, aliciamento).

– Due process: garantir canal de recurso e notificação do usuário afetado, com critérios de proporcionalidade e não discriminação.

– Aplicável a todos os ambientes (inclusive 18+). Conteúdos ilícitos graves envolvendo menores (p. ex., exploração sexual, aliciamento) exigem remoção imediata, preservação de evidências e comunicação às autoridades, independentemente do público-alvo declarado.

Design ético e não-manipulativo. Critérios de usabilidade segura, mitigação de riscos de engajamento compulsivo, padrões manipulativos (“dark patterns”) vedados e atenção especial a recursos de interação social (DMs, lives, grupos, algoritmos de recomendação).

Plataformas 18+: “gate” etário eficaz e auditável. Em ambientes rotulados como 18+, a prioridade é tornar o 18+ verdadeiro: controles de age assurance (multi-sinais e/ou verificação por responsável/terceiro confiável), testes periódicos de evasão, coerência entre marketing, loja de apps e funcionalidades, bloqueio preventivo de features de alto risco (DMs/lives abertas) antes da verificação, e trilhas de contestação (inclusive ao atingir a maioridade). Falhas no gate ativam todas as vedações aplicáveis a menores.

Consequências do não cumprimento

O ECA Digital prevê advertência, multas significativas que podem chegar a 10% do faturamento do grupo econômico no Brasil ou, na ausência desse dado, de R$ 10 a R$ 1.000 por usuário cadastrado, limitadas a R$ 50 milhões por infração, e medidas de suspensão ou proibição de atividades em hipóteses graves (mediante decisão judicial). Além do risco regulatório e judicial, há impactos reputacionais e contratuais (p. ex., com anunciantes, estúdios, varejistas de apps, integradores e parceiros de pagamentos).

Para plataformas 18+, o ônus prático recai em demonstrar a eficácia dos controles etários e da governança de parceiros; gate fraco pode significar incidência integral das salvaguardas para menores, além da maior exposição a sanções.

Recomendações imediatas – do “papel” para a prática.

Mapeamento de escopo

– Identifique produtos, superfícies e públicos com “acesso provável” por menores (não apenas “direcionados”).

– Classifique cenários de risco por produto/recurso (chat, UGC, live, recomendação algorítmica, ranking, DMs, geolocalização, economia in-app).

Inventário de dados e avaliações de impacto

– Atualize o inventário de tratamento de dados (art. 14 da LGPD) específico para menores e conduza Avaliações de Impacto à Privacidade, também conhecidas como Data Protection Impact Assessments (“AIPs/DPIAs”) temáticas com plano de mitigação.

– Revise bases legais, retenção, controle de acesso e pseudonimização; avalie DLP, rate-limiting e detecção de práticas de aliciamento online, quando adultos tentam manipular ou enganar menores para fins de exploração (“grooming”).

Verificação de idade e contas vinculadas

– Defina métodos de age assurance proporcionais (sem supercoleta): sinais de uso, fatores de risco, verificação escalável via responsável, controles parentais e auditoria periódica.

– Crie trilhas de contestação e portabilidade para quando o usuário atingir a maioridade.

Publicidade e adtech

– Desative perfilamento para menores; revise segmentações, lookalikes (públicos semelhantes gerados por algoritmos a partir de perfis existentes, usados em marketing direcionado) e remarketing.

– Atualize contratos com ad networks, CDPs, DSPs e creators prevendo cláusulas ECA Digital, auditoria e responsabilidades solidárias.

Jogos e economia in-app

– Remova loot boxes e reestruture progressões; torne probabilidades transparentes quando aplicável; revise sistemas de recompensa e age-gating.

Takedown, reporte e guarda de evidências

– Estabeleça Acordos de Nível de Serviço que define prazos e compromissos formais de tempo para responder incidentes (“SLA”) de resposta, manuais operacionais passo a passo para lidar com incidentes ou tarefas críticas (“runbooks”) e matriz de gravidade; integre Trust & Safety, Jurídico e Respostas a Incidentes.

– Defina critérios de triagem, comunicação com autoridades, preservação de logs e mecanismos antifraude para evitar remoções abusivas.

Transparência semestral e governança

– Estruture KPIs (p. ex., tempo de remoção, reincidência, efetividade de age assurance, taxas de appeals).

– Prepare relatórios semestrais e registros de decisão para demonstrar boa-fé e diligência perante ANPD e Judiciário.

Contratos, políticas e treinamento

– Atualize Termos de Uso, Política de Privacidade (seções específicas para menores), Política de Comunidade, regras internas da plataforma que orientam comportamentos permitidos e proibidos (“House Rules”) e programas de creators.

– Insira cláusulas de compliance ECA Digital com fornecedores, moderadores terceirizados, parceiros de IA/moderation e pagamentos.

– Treine times de produto, engenharia, T&S, campanhas e atendimento.

Política 18+ e testes de eficácia

– Política 18+ pública e interna, alinhada a Termos de Uso e às lojas de aplicativos (classificação etária, parental controls, descrições).

– Testes trimestrais de evasão (“red teaming”) com relatórios para diretoria jurídica/T&S, correções com prazos e evidências de reteste.

– Coerência externa: marketing sem apelo “teen”, creators e afiliados contratualmente vinculados a regras 18+, monitorados por brand safety.

– Sistemas de ads parametrizados para exclusão etária e auditorias (logs de campanha, listas de inclusão/exclusão, documentação de decisões).

Conformidade como vantagem competitiva

O ECA Digital não é apenas um checklist de compliance. É um novo patamar de governança que exige arquitetura de produto responsável, processos de moderação maduros e publicidade ética por design. Para empresas de tecnologia, o movimento é duplo: reduzir risco regulatório e litigioso e, ao mesmo tempo, fortalecer a confiança de usuários, famílias, investidores e reguladores. Quem se antecipa transforma conformidade em diferencial competitivo.

O período de carência/vacatio de 6 meses é crucial o para implementar mudanças estruturais — não apenas “políticas de papel”. O custo de não conformidade tende a ser significativamente mais alto do que o investimento em governança, engenharia e compliance agora.

IN BCB nº 713/2026: novas obrigações de reporte para prestadores de serviços de ativos virtuais

LC 227/2026 O Novo Cenário do Planejamento Patrimonial e Sucessório

Ponte para Investimentos: como estruturas jurídicas e governança influenciam a captação de recursos